باگ جدید سافاری اطلاعات شخصی کاربران آیفون، آیپد و مک را فاش می کند

امنیت در محصولات اپل حرف اول را می‌زند. اما این موضوع بدان معنا نیست که اصلا و ابدا هیچ مشکلی در آن وجود ندارد. زیرا به تازگی مشخص شده است که باگ جدید سافاری اطلاعات شخصی کاربران آیفون، آیپد و مک را فاش می‌کند. با ترنجی همراه باشید.

باگ جدید سافاری و لو رفتن اطلاعات شخصی کاربران اپل

شرکت امنیتی FingerprintJS روز جمعه گزارشی در مورد یک باگ یافت شده در نسخه iOS 15 مرورگر موبایل سافاری منتشر کرد. در این گزارش آمده است که این باگ به هر وب سایتی اجازه می‌دهد که فعالیت شما را ردیابی کرده و حتی هویت شما را نیز فاش کند. یک باگ یافت شده در یک رابط برنامه نویسی (API) که توسط اکثر مرورگرها استفاده و پشتیبانی می‌شود، می‌تواند توسط مهاجمان برای پیدا کردن اطلاعات زیادی در مورد شما استفاده شود.

API توسط برنامه نویسان برای اتصال بخش‌هایی از نرم‌افزار به نرم‌افزارهای دیگر استفاده می‌شود که توسعه برنامه‌ها را آسان‌تر می‌کند. یکی از این API ها، به نام IndexedDB، توسط اکثر مرورگرهای اصلی پشتیبانی می‌شود و آنچه که این گزارش اخیر آن را “مقدار قابل توجهی از داده‌ها” می‌نامد، در خود نگه می‌دارد.

گوگل برای حفظ موتور جستجو پیش فرض در سافاری ۱۵ میلیارد دلار به اپل پرداخت می‌کند

سافاری در iOS 15 و iPadOS 15 دارای یک باگ است که می‌توان از آن برای افشای اطلاعات شخصی شما سوء استفاده کرد

این باگ در iOS 15، iPadOS 15 و macOS به وب‌سایت‌های مختلف اجازه می‌دهد تا بدانند کاربر از چه سایت‌های دیگری در پنجره‌ها و تب‌های دیگر بازدید می‌کند. این موضوع امکان پذیر است زیرا سایت‌هایی مانند YouTube، Google Calendar و Google Keep از شناسه‌های منحصر به فرد مخصوص کاربر در نام پایگاه داده خود استفاده می‌کنند. در نتیجه، کاربران احراز هویت شده را می‌توان شناسایی کرد زیرا سایت‌های فوق پایگاه‌های داده‌ای را ایجاد می‌کنند که شامل شناسه کاربری متعلق به کاربر است و پایگاه‌های داده برای همه حساب‌های مورد استفاده باز می‌شوند.

شناسه کاربری Google، مهاجم را به حجم انبوهی از داده‌های شخصی هدایت می‌کند. از هر کدام از آن‌ها می‌توان برای شناسایی یک حساب خاص استفاده کرد و در ترکیب با API های Google، حداقل می‌تواند تصویر نمایه شما را برای یک هکر نشان دهد. همچنین می‌تواند به مهاجم کمک کند تا اطلاعات شخصی بسیار زیادی را بدست آورد و چند حساب جداگانه متعلق به یک کاربر را باز کند.

متأسفانه، پیدا کردن اطلاعات شخصی شما نیازی به انجام هیچ اقدام خاصی ندارد زیرا در گزارش آمده است که برگه یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و دائماً از IndexedDB API برای پایگاه‌های داده موجود سؤال می‌کند، می‌تواند متوجه شود که کاربر از چه وب‌سایت‌های دیگری بازدید می‌کند. از سویی دیگر، وب‌سایت‌ها می‌توانند هر وب‌سایتی را در یک iframe یا پنجره بازشو باز کنند تا یک نشت مبتنی بر IndexedDB برای آن سایت خاص ایجاد کنند.

FingerprintJS حدود ۱۰۰۰ سایت برتر بازدید شده توسط الکسا را بررسی کرد و دریافت که ۳۰ سایت با پایگاه‌های داده مستقیما در صفحه اصلی خود بدون هیچ گونه تعامل یا احراز هویت مورد نیاز کاربر، تعامل دارند. حتی اگر شخصی از حالت خصوصی در سافاری استفاده می‌کند، اگر با استفاده از یک برگه از چندین وب‌سایت بازدید کند، تمام پایگاه‌های داده‌ای که با آن‌ها تعامل دارند به سایت‌هایی که کاربر متعاقبا از آن‌ها بازدید می‌کند گزارش می‌شود.

سافاری ۱۴ اجازه ورود به وب سایت ها با Face ID یا Touch OD را ارایه می کند

آیا راهی برای جلوگیری از این باگ وجود دارد؟

اگر یک کاربر سافاری از iOS 15 یا iPadOS 15 استفاده می‌کند، کار چندان زیادی نمی‌تواند انجام دهد. یک پیشنهاد این است که همه جاوا اسکریپت‌ها را به طور پیش فرض مسدود کنید و فقط در سایت هایی که کاملا مورد اعتماد هستند آن را فعال کنید. کاربران مک می‌توانند مرورگرها را برای دوری از این باگ تغییر دهند. اما این راه حل مناسبی برای iOS 15 یا iPadOS 15 نیست. این باگ توسط FingerprintJS در تاریخ ۲۸ نوامبر 2021 (۷ آذر ۱۴۰۰) به عنوان باگ ۲۳۳۵۴۸ به WebKit Bug Tracker ارسال شده است.

اگر می‌خواهید این موضوع را در آیفون یا آیپد خود بررسی کنید، مرورگر Safari را باز کنید. سپس به safarileaks.com رفته و دستورالعمل‌های ساده آن را دنبال کنید. اگر یکی از سایت‌های لیست شده در صفحه نمایش باشد، شناسه کاربری منحصر به فرد Google شما قابل دسترسی است و خیلی زود نام آخرین سایتی که بازدید کرده‌اید ظاهر می‌شود.

به گفته phonearena، تنها راه حلی که وجود دارد این است که منتظر بمانید تا اپل iOS و iPadOS را آپدیت کند و مطمئن شوید که به محض انتشار آن را نصب می‌کنید. مجددا باید گفت که اگر از مک استفاده می‌کنید، تغییر مرورگرها روش مناسبی است اما در iOS و iPadOS اینطور نیست. به خاطر داشته باشید که کاربران برای رفع اشکال نیازی به انجام هیچ اقدام خاصی ندارند.

نظر شما در مورد باگ جدید سافاری چیست؟